8. § (1) Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:
a) elemei azonosíthatók és dokumentáltak,
b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,
c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,
d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,
e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúra szinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött, i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,
j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, amennyiben az ügyfél-átvilágításra a szolgáltató más módon nem képes, vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,
l) karbantartása szabályozott,
m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,
2. szám PÉNzÜgyi közlöNy 621
5. § (1) A Pmt. 63. § (3) bekezdésében meghatározott rendszer segítségével a szolgáltató vezető tisztségviselője, foglalkoztatottja és segítő családtagja (a továbbiakban együtt: foglalkoztatott) értesítést küldhet a Pmt. rendelkezéseinek szolgáltató általi megsértéséről a kivizsgálására jogosult személy vagy szervezeti egység részére.
(2) Az (1) bekezdés szerinti rendszert minden olyan szolgáltató kiépíti, ahol legalább 2 fő foglalkoztatott vesz részt a Pmt. szerinti tevékenység ellátásában. E tekintetben a foglalkoztatottal egy tekintet alá esik az a jogi személy, jogi személyiség nélküli szervezet vagy egyéni vállalkozó, amely a Pmt. hatálya alá tartozó tevékenység részfolyamatait a szolgáltató nevében, a szolgáltató felügyelete vagy a szolgáltató ellenőrzése alatt végzi.
(3) A szolgáltató az értesítésben foglaltakat 8 napon belül kivizsgálja, a vizsgálat eredményét és a meghozott intézkedéseket visszakereshető módon rögzíti.
3. Az egyszerűsített és a fokozott ügyfél-átvilágítás esetkörei és azok felügyeleti jóváhagyásának szabályai
6. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmaz az alacsony kockázati kategóriába sorolt ügyfelei vonatkozásában.
7. § (1) Fokozott ügyfél-átvilágítást a szolgáltató akkor alkalmaz, ha magas kockázatra vonatkozó tényező merül fel az ügyfél esetében.
(2) A szolgáltató által alkalmazott egyszerűsített és fokozott ügyfél-átvilágítás belső szabályzatban kidolgozott esetköreit a felügyeletet ellátó szerv a Pmt. szerinti belső szabályzat részeként hagyja jóvá.
4. Az auditált elektronikus hírközlő eszköz és működtetésének minimum követelményei, auditálásának módja, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás végrehajtása
8. § (1) Az elektronikus hírközlő eszköz akkor auditálható és működtethető, ha legalább az alábbi informatikai biztonsági követelményeknek megfelel:
a) elemei azonosíthatók és dokumentáltak,
b) üzemeltetési folyamatai szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek,
c) változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhassanak meg,
d) adatmentési és -visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás az üzemeltetési szabályzat szerinti gyakorisággal és dokumentáltan tesztelt,
e) a felhasználói hozzáférés mind alkalmazási, mind infrastruktúra szinten szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött,
f) a felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, biztosítják az azonosítási folyamat megvalósulását, továbbá felhasználóinak tevékenysége naplózott, a rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
g) a hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzöttek, a kiemelt jogosultságokkal elvégzett tevékenység naplózott, a naplófájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak,
h) a távoli hozzáférés szabályozott, dokumentált és az üzemeltetési szabályzat szerinti gyakorisággal ellenőrzött, i) a vírusok és más rosszindulatú kódok és cselekmények elleni védelem biztosított,
j) adatkommunikációja és rendszerkapcsolatai dokumentáltak és ellenőrzöttek, az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosított,
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt, amennyiben az ügyfél-átvilágításra a szolgáltató más módon nem képes, vagy az alkalmazott rendszer a szolgáltató vonatkozásában üzleti kritikus rendszerként került besorolásra,
l) karbantartása szabályozott,
m) adathordozóinak védelme szabályozott, biztosított, hogy az adathordozókhoz csak az arra jogosult személyek és csak az adatkezelési cél teljesülése érdekében férnek hozzá, ennek felülvizsgálata és ellenőrzése rendszeresen megtörténik,
M A G Y A R K Ö Z L Ö N Y • 2021. évi 16. szám 451
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,
c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentést felülvizsgálja,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, és
h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.
9. § (1) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.
(2) A szolgáltató visszakereshető módon rögzíti a) a helyiségbe belépő személyét, b) a helyiségből kilépő személyét és c) a be- és kilépés időpontját.
(3) A valós idejű ügyfél-átvilágítást csak a szolgáltató foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában az alábbi feltételek egyidejű teljesülése esetén biztosítja az ügyfél átvilágítására vonatkozó biztonságos feltételeket:
a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult, b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros – amelyek közül az egyik kép- és hangátvitelt lehetővé
tevő elektronikus hírközlő eszköz –, és a faktorai legalább két eltérő technológián alapulnak,
c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott okmány biztonsági elemeinek azonosítására,
M A G Y A R K Ö Z L Ö N Y • 2021. évi 16. szám 451
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,
c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentést felülvizsgálja,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, és
h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.
9. § (1) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.
(2) A szolgáltató visszakereshető módon rögzíti a) a helyiségbe belépő személyét, b) a helyiségből kilépő személyét és c) a be- és kilépés időpontját.
(3) A valós idejű ügyfél-átvilágítást csak a szolgáltató foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában az alábbi feltételek egyidejű teljesülése esetén biztosítja az ügyfél átvilágítására vonatkozó biztonságos feltételeket:
a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult, b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros – amelyek közül az egyik kép- és hangátvitelt lehetővé
tevő elektronikus hírközlő eszköz –, és a faktorai legalább két eltérő technológián alapulnak,
c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott okmány biztonsági elemeinek azonosítására,
622 PÉNzÜgyi közlöNy 2. szám
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,
c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentést felülvizsgálja,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, és
h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.
9. § (1) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.
(2) A szolgáltató visszakereshető módon rögzíti a) a helyiségbe belépő személyét, b) a helyiségből kilépő személyét és c) a be- és kilépés időpontját.
(3) A valós idejű ügyfél-átvilágítást csak a szolgáltató foglalkoztatottja végezheti, akinek a szolgáltató előzőleg e tevékenység ellátására képzést szervezett, és aki azt követően eredményes vizsgát tett.
(4) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában az alábbi feltételek egyidejű teljesülése esetén biztosítja az ügyfél átvilágítására vonatkozó biztonságos feltételeket:
a) az ügyfél a valós idejű ügyfél-átvilágítás feltételeit részletesen megismerte, és ahhoz kifejezetten hozzájárult, b) a valós idejű ügyfél-átvilágítás legalább kétfaktoros – amelyek közül az egyik kép- és hangátvitelt lehetővé
tevő elektronikus hírközlő eszköz –, és a faktorai legalább két eltérő technológián alapulnak,
c) a valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszköz képfelbontása és a kép megvilágítása alkalmas az ügyfél nemének, korának, arcjellemzőinek felismerésére és az ügyfél által bemutatott fényképes azonosító okmánnyal való összevetésre, az okmányban foglalt adatok és a bemutatott okmány biztonsági elemeinek azonosítására,
M A G Y A R K Ö Z L Ö N Y • 2021. évi 16. szám 451
n) saját kontrolljai és az üzemeltetési szabályzat gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről és védelméről,
o) biztosított a megfelelő szintű fizikai védelem, az elkülönített környezet és az egyes biztonsági események detektálása.
(2) A szolgáltató az auditált elektronikus hírközlő eszköz vonatkozásában gondoskodik arról, hogy
a) az ügyféllel felépített elektronikus átviteli csatornán keresztül folyó távadatátvitel megfelelően biztonságos, titkosított, bizalmas, sértetlen és hiteles legyen,
b) az ügyfél megkapja a szolgáltatás igénybevételének feltételeiről való tájékoztatást, beleértve a szolgáltatás biztonságára vonatkozó ügyfél oldali felelősségről szólót is,
c) a szolgáltató oldali ügyfél-átvilágításban csak a szükséges mértékben és csak olyan személy vegyen részt, aki – a szolgáltató által alkalmazott megoldástól függően – a közvetett vagy közvetlen elektronikus ügyfél-átvilágítás végrehajtásához szükséges jogi, technikai és biztonsági oktatásban részesült,
d) az elektronikus hírközlő eszközre és az ügyfél-átvilágítási folyamatra vonatkozó olyan vizsgálati jelentéssel rendelkezzen, amely igazolja, hogy ezek informatikai védelme a biztonsági kockázatokkal arányos, és megfelel különösen az (1) bekezdésben foglalt követelményeknek,
e) a jogi szabályozásban, az alkalmazott technológiában vagy az üzleti folyamatban történt releváns, a működésre kiható változás esetén, de legalább kétévente a vizsgálati jelentést felülvizsgálja,
f) a d) pontban meghatározott vizsgálati jelentést olyan, az Európai Gazdasági Térség valamely tagállamában bejegyzett szervezet állítsa ki, amely szervezetnél a vizsgálatban igazolhatóan részt vevő személy rendelkezik legalább
fa) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Systems Auditor (CISA),
fb) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Manager (CISM),
fc) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) vagy
fd) az Információbiztonsági irányítási rendszerekre vonatkozó ISO/IEC 27001 Vezető Auditor (Lead Auditor)
képesítéssel és minősítéssel,
g) a Pmt.-ben előírt ügyfél-átvilágítás és elektronikus azonosítás során a szolgáltató birtokába jutott személyes adatokat és személyes adatnak nem minősülő adatokat az adatkezelés időtartama alatt az érintett részére hozzáférhetővé tegye, átadja, és
h) az ügyfél-átvilágítás folyamatáról elektronikusan eltárolt adatok oly módon kerüljenek rögzítésre, hogy azok a későbbiekben alkalmasak legyenek az ügyfél-átvilágításra vonatkozó rendelkezések betartásának és az ügyfél-átvilágítási intézkedések végrehajtásának utólagos megítélésére.
9. § (1) A szolgáltató foglalkoztatottja az auditált elektronikus hírközlő eszköz útján végzett valós idejű ügyfél-átvilágítást (a továbbiakban: valós idejű ügyfél-átvilágítás) egy erre a célra elkülönített és felszerelt helyiségben végzi.
(2) A szolgáltató visszakereshető módon rögzíti a) a helyiségbe belépő személyét, b) a helyiségből kilépő személyét és c) a be- és kilépés időpontját.
(2) A szolgáltató visszakereshető módon rögzíti a) a helyiségbe belépő személyét, b) a helyiségből kilépő személyét és c) a be- és kilépés időpontját.